菠菜黑产XJ团伙分析报告微步在线报告
TAG: 菠菜、XJ、黑产、Linux、入侵、后门
TLP: 白(报告转发及使用不受限制)
日期:2019-04-01
概要
近日,微步在线应急响应团队在处理Linux服务器被入侵事件过程中,分析发现了攻击者使用的多款黑客工具及攻击痕迹,并据此拓线出其更多网上资产,由于攻击者的C&C常使用字符串“xj”,我们将其命名为XJ团伙,其主要特征包括:
1.通过Web漏洞、服务器漏洞以及弱口令爆破等方式对目标网站进行渗透,并善用反弹shell后门、Xnote、SSHD后门,webshell等木马工具实现远程控制、长期驻留以及信息窃取的活动。
2.XJ团伙会通过篡改网站页面、配置文件、数据库等方式在合法网站植入菠菜信息,用于推广各类菠菜站点。
关联发现该团伙大量木马样本及5个C&C ,相关域名均在Godaddy注册,并长期使用美国、香港、韩国、日本、新加坡等地IP地址。
3.XJ团伙至少自2015开始活跃,主要通过入侵控制合法网站推广菠菜信息牟利,危害较大。
详情
近日,微步在线应急响应团队在处理Linux服务器被入侵事件中,发现攻击者是通过 Web 应用漏洞植入Webshell 获取系统控制权限,之后进行权限提取操作,在系统中安装sshd后门程序,用来明文记录管理员的登录账号及密码,等待一段时间后,利用窃取到的用户SSH登录账号密码,登录内网中其他开放ssh服务的主机,进而攻陷整个内网,最后,黑客通过修改Web服务器配置文件或修改js的形式,在受害者多个网站中插入菠菜推广信息,影响恶劣。
事件还原
此次事件中,我们在受害主机中发现了黑客在使用的Webshell、反弹shell及sshd后门等黑客工具,具体情况如下:
1.Webshell
攻击者最初是通过Web服务的框架漏洞写入了一个简单的Webshell,获取了服务器的控制权限,其攻击时使用的IP地址为103.49.11.212(香港)。
2、反弹shell
该样本为linux反弹shell的后门,该后门运行时,首先会将自己的进程名称修改为[nfsiod],然后每隔80秒钟尝试向C&C服务器zzz.457467.com的17103端口进行连接,连接成功后会将受害主机shell反弹给攻击者使用。
3、sshd后门
攻击者在该主机中部署了sshd后门,该程序内含一个万能密码“****.!@#*****”,可供攻击者直接登录,此外还会持续记录所有登录者的用户名和密码存放至“/var/log/”目录下的.ilog文件中。通过该程序,攻击者成功获取了服务器管理员的常用密码,并据此渗透至内网的其他多台主机。
最终,黑客篡改了相关网站的配置文件,将菠菜推广信息插入其中,效果如下图所示:
关联分析
我们以分析过程中发现的C&C、木马特点以及攻击IP地址为线索,拓线发现了攻击者的其他网上资产:
1.C&C
本次事件发现攻击者使用的C&C为zzz.457467.com,通过微步在线追踪溯源系统关联发现另一个可疑域名xj.dsbxj.com,该域名存在ddos、rootkit、linux等可疑子域名,且部分子域名同样被用作修改版的Pirsm的回连C&C,判断为同一团伙所有。
2、样本
通过反弹Shell后门特点,我们又从微步在线威胁情报云中关联出数十份相似样本,并提取到更多C&C地址:
上述域名均在Godaddy注册,具备类似的子域名,且同时用于相似木马的回连地址,且域常出现“xj”,因此我们将其命名为“XJ团伙”。
而对上述域名进一步排查发现,除Linux后门外,mail.dsbxj.com、ddos.dsbxj.com、tt.455465.com等域名还曾作为部分Window平台下Farfli远控木马的C&C地址,可知该团伙还会针对Windows主机发起攻击。
此外,相关子域名长期使用美国、香港、韩国、日本、新加坡等地的IP地址,。
3、攻击IP
对上传Webshell的IP地址103.49.11.212关联发现,曾有用户于2018年9月向我们提交情报,称该IP地址曾入侵其公司服务器,并部署了反弹Shell后门,而该后门的C&C即上文关联出的zzz.xjdsbweb.com,进一步印证了相关资产属于XJ团伙。
最后,我们以此次事件攻击者推广的菠菜信息关联发现,目前互联网上还存在大量存在该信息的合法网站,有较大可能已被XJ团伙控制。
黑客画像
综合上述信息可知,XJ团伙攻击手法为:通过Web渗透或弱口令拿下第一台linux系统主机,在主机中植入具有万能密码、且明文记录用户登录账号密码功能的sshd后门,等待一段时间后,利用获得的用户账号密码,扫描内网其他开放ssh服务的主机,用已有账户密码登录内网其他主机,之后根据主机的业务类型,再根据实际情况对菠菜进行推广。该团伙画像如下:
IOC
点击“阅读原文”链接,查看更多相关IOC。